Die elektronische Signatur sowie die E-Mail- und Dateiverschlüsselung sind kryptographische Verfahren, die den elektronischen Datenaustausch vor Fremdzugriffen schützen. Computerexperte Jörg Kohler erklärt Ihnen, wie das funktioniert.
Von Jörg Kohler
Gerade im Heilberufssektor mit seinen hohen Anforderungen an den Datenschutz und die fälschungssichere Dokumentenübermittlung ist es unerlässlich, den Schriftverkehr übers Internet mit kryptographischen Methoden abzusichern. Diese stützen sich auf zwei Säulen: zum einen auf die elektronische Signatur und zum anderen auf die E-Mail- und Dateiverschlüsselung.
Die elektronische Signatur ist das Äquivalent zur handschriftlichen Unterschrift. Durch sie wird garantiert, dass eine E-Mail tatsächlich vom genannten Absender stammt und der Inhalt der Nachricht - einschließlich der Anhänge - nicht verfälscht wurde. Rechtskraft erlangen E-Mails übrigens erst durch die elektronische Signatur.
Bei der Erstellung von elektronischen Signaturen werden vier verschiedene Stufen mit unterschiedlicher Wertigkeit unterschieden:
Die einfache elektronische Signatur (§ 2 Nr. 1 SigG) kann beispielsweise eine eingescannte Unterschrift sein, die in eine E-Mail eingefügt oder im Anhang versendet wird. Da die einfache elektronische Signatur wenig fälschungssicher ist und der Inhalt der Nachricht manipulierbar bleibt, wird sie im Geschäftsverkehr nicht als verbindliche Unterzeichnung anerkannt.
Die fortgeschrittene elektronische Signatur (§ 2 Nr. 2 SigG) ist etwas höherwertiger einzustufen. So lässt sie sich eindeutig dem Unterzeichner der Nachricht zuordnen und Manipulationen am Dokument werden erkennbar gemacht. Das hierfür bekannteste Verfahren ist PGP. Die Qualität dieser Signaturform schwankt jedoch stark abhängig von den eingesetzten Hard- und Softwarekomponenten und der Sorgfalt des Erstellers. Deshalb liegt im Streitfall die Beweispflicht beim Versender, so dass auch die fortgeschrittene elektronische Signatur nur bedingt rechtskräftig ist.
Die qualifizierte elektronische Signatur (§ 2 Nr. 3 SigG) verkörpert die höchste Sicherheitsstufe der elektronischen Signatur. Sie garantiert durch Zertifikate die Authentizität von Unterzeichner und Dokument. Diese Zertifikate dürfen nur von ZDAs ausgegeben werden, die eigene Trustcenter betreiben.
Trustcenter, die qualifizierte elektronische Signaturen ausstellen, stehen unter Aufsicht der Bundesnetzagentur und müssen bei dieser nachweisen, dass sie die sehr strengen gesetzlichen Regelungen und Auflagen erfüllen. Meist sind die Zertifikate auf Chipkarten aufgebracht, die mit speziellen Lesegeräten und Softwareprodukten genutzt werden können. Qualifizierte elektronische Signaturen sind rechtlich der Unterschrift nahezu gleichgestellt.
Bei der qualifizierten elektronischen Signatur mit Anbieter-Akkreditierung garantiert das Trustcenter darüber hinaus eine nachgewiesene organisatorische und technische Sicherheit durch ein Gütesiegel. Die Bundesnetzagentur verleiht das Gütesiegel nur nach sorgfältiger Prüfung des Anbieters.
Die Verschlüsselung von Dokumenten und Nachrichten ist aus Datenschutzgründen verpflichtend. Der Gesetzgeber sieht für sensible, patientenbezogene Daten - wie zum Beispiel Arztbriefe - sogar ausdrücklich vor, dass diese nur verschlüsselt über das Internet übermittelt werden dürfen. Die Chiffrierung von Dateien und E-Mails nutzt meist das sogenannte "Zwei-Schlüssel-Verfahren". Jeder Teilnehmer hält dabei ein Schlüsselpaar, das aus einem geheimen, privaten (private key) und einen öffentlichen Schlüssel (public key) besteht.
Mit dem private key verschlüsselt der Absender seine Nachricht. Mit seinem dazugehörenden public key kann der Empfänger diese E-Mail entschlüsseln. Zu diesem Zweck muss der Schlüsselinhaber dem Empfänger seinen "public key" zur Verfügung stellen. Dies kann direkt per E-Mail oder auf Datenträgern wie Disketten, CDs, DVDs oder USB-Sticks erfolgen. Alternativ wird der "public key" auf öffentlich zugänglichen Verzeichnisservern abgelegt. Letzteres Verfahren hat sich inzwischen als das gängigste durchgesetzt.
PGP (= Pretty Good Privacy) ist ein Programm zu Verschlüsselung und Signierung von Daten.
ZDA (= Zertifizierungsdiensteanbieter) sind dazu autorisiert, Zertifikate auszustellen
Trustcenter = unabhängige Instanz, die Schlüsselpaare in Form von Zertifikaten erzeugt, ausgibt und verwaltet
private key = privater Schlüssel, der geschützt und gegen Einsichtnahme abgesichert auf dem Rechner des Schlüsselinhabers liegt
public key = öffentlich zugänglicher Schlüssel des Schlüsselpaares, ohne den eine mit dem private key verschlüsselte Nachricht nicht dechiffriert werden kann
SigG (= Signaturgesetz) bezweckt, Rechtssicherheit für internetbasierte Geschäftsvorgänge und öffentliche Verwaltung zu erlangen und zu gewährleisten
